|
|
1采用DLL劫持或者跳板技术将Dll加载到svchost进程中
也可以参考内核注入的N中思路 其中很多方式也适用于R3
2隐藏在dll中的shellcode执行并将DLL卸载
3即使你开了hips svchost也要正常联网比方说连网关 53bind口得到dns地址等等 要n多联网 你用hips禁止svchost联网 你自己也上不了网
杀毒软件根本无法查杀 除非内存查杀匹配特征码 但是shellcode变形 编码 加解密手段太多了
稍微一修改就过了AV
4此时shellcode从你电脑上偷点东西 然后传上去 易如反掌
当然思路也比较老了
谁有办法 对抗这种后门
当然防火墙白名单可以 不允许访问陌生IP 但是 实战价值不大 |
|
发表于 2012-9-5 20:38:33
发表于 2012-9-5 21:02:39
